KİŞİSEL VERİLERİ KORUMA KURULU’NUN 18.05.2021 TARİHİNDE YAYINLAMIŞ OLDUĞU KARAR ÖZETLERİ-2

“Belediyeler tarafından sunulan internet hizmetleri”ne ilişkin Kişisel Verileri Koruma Kurulunun 25/02/2021 tarih ve 2021/140 sayılı Karar Özeti
 

• Kanunun 12 nci maddesinin (1) numaralı fıkrası uyarınca “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.”.

• “Kişisel Veri Güvenliği Rehberi”nde  kişisel veri içeren sistemlere erişimin sınırlı olması gerektiği belirtilmektedir. Bu kapsamda, kişilere yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalıdır. Bununla birlikte, kişiler kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlayabilmelidir. Son olarak uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması veri güvenliğinin sağlanması bakımından önem taşımaktadır.

• Belediyeler tarafından sunulan emlak vergisi, beyan bilgisi veya benzeri nitelikteki hizmetlere ilişkin sorgulama sayfalarında veri güvenliğini arttırmaya yönelik olarak gerekli idari ve teknik tedbirlerin alınmalıdır. Bu bağlamda örneğin, çift katmanlı doğrulamayı mümkün kılabilecek şekilde T.C. Kimlik numarası ya da vergi numarasının girilmesinin yanı sıra kişilerden farklı kişisel veriler de talep edilebilir; SMS ile doğrulama ya da üyelik yapılması gibi yöntemlere başvurulabilir. Diğer taraftan yalnızca tek bir bilginin girilerek (örneğin TC kimlik no, vergi no gibi) kişilerin borç ya da emlak bilgilerine erişim sağlanmasına yönelik uygulamalar terk edilmelidir.

“İlgili kişinin kişisel verilerinin site yönetim hizmetini sağlayan veri sorumlusu şirket tarafından bir mobil uygulama ile hukuka aykırı olarak paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 13/04/2021 tarihli ve 2021/359 sayılı Karar Özeti

• İlgili kişinin oturduğu sitenin yönetiminden sorumlu şirket, ilgili kişinin telefon numarasını yönetim hizmetleri kapsamında kullanılan bir mobil uygulama ile rızası dışında paylaşmıştır. İlgili kişiye söz konusu uygulamadan bilgi mesajı gönderilmektedir. Uygulama Hizmetini Sunan Şirket, Yönetim Hizmeti Sunan Şirket ile aralarında akdedilen hizmet sözleşmesi kapsamında bu Şirkete bulut hizmeti sağlamaktadır. Sisteme kullanıcı kaydı ve girişi, hesap oluşturma ve sair tüm işlemleri Yönetim Hizmet sunan Şirketi tarafından oluşturulmaktadır. Bu doğrultuda, Yönetim Hizmeti Sunan Şirket veri sorumlusu iken; Uygulama Hizmetini Sunan Şirketi sağladığı bulut hizmetinin kapsamı gereği veri işleyen olarak kabul edilmiştir. 

• Kişisel Verileri Koruma Kurulu, veri sorumlusu konumundaki Yönetim Hizmeti Sunan Şirketin kullanmış olduğu bir uygulamadan diğer uygulamaya veri paylaşılması konusunda yetki tanımasını veri paylaşımı olarak kabul etmiştir. Diğer taraftan söz konusu ilk uygulamadan ikinci uygulamaya katılımın, site yönetim işlerinden ayrı bir amaca hizmet ettiğini ve isteğe bağlı olduğunu belirtmiştir. Bu kapsamda Yönetim Hizmeti Sunan Şirketin söz konusu veri işleme faaliyetinde dayanması gereken hukuki sebep “açık rıza” olarak gösterilmiştir.

KVKK hakkındaki güncel haberler ve makaleler için KVKK e-mail listemize üye olabilirsiniz. Üye olmak için lütfen kvkk@sistemglobal.com.tr adresine katılma talebinizi iletiniz.

Bilgiyi Tecrübeyle Güce Dönüştürüyoruz…